NORMA TÉCNICA NTP-ISO/IEC PERUANA 2008

Transcripción

1 PERUANA 2008 Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias - INDECOPI Calle De La Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Perú EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos EDI. Information technology. Security techniques. Information security management systems. Requirements (EQV. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems Requirements) ª Edición R /INDECOPI-CNB. Publicada el Precio basado en 49 páginas I.C.S: ESTA NORMA ES RECOMENDABLE Descriptores: Administración de seguridad de la información, información.

2 ÍNDICE página ÍNDICE PREFACIO INTRODUCCIÓN i ii iv 1. ALCANCE 1 2. REFERENCIAS NORMATIVAS 2 3. TÉRMINOS Y DEFINICIONES 3 4. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 5 5. RESPONSABILIDAD DE LA GERENCIA AUDITORÍAS INTERNAS DEL ISMS REVISIÓN GERENCIAL DEL ISMS MEJORA DEL ISMS ANTECEDENTES 21 ANEXO ANEXO A 22 ANEXO B 43 ANEXO C 45 BIBLIOGRAFÍA 49 i

3 PREFACIO A. RESEÑA HISTÓRICA A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico Permanente de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 o Adopción, durante los meses de mayo a octubre del 2008, utilizando como antecedente la ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements. A.2 El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos EDI presentó a la Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias -CNB-, con fecha , el PNTP- ISO/IEC 27001:2008, para su revisión y aprobación, siendo sometido a la etapa de Discusión Pública el No habiéndose presentado observaciones fue oficializado como Norma Técnica Peruana PNTP-ISO/IEC 27001:2008 EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos, 1ª Edición, el 11 de enero de A.3 Esta Norma Técnica Peruana reemplaza a la NTP :2005 EDI. Sistemas de gestión de seguridad de la información. Especificaciones con guía de uso y es una adopción de la ISO/IEC 27001:2005. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las Guías Peruanas GP 001:1995 y GP 002:1995. B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN DE LA NORMA TÉCNICA PERUANA Secretaría Presidente Secretaria EAN PERU Marcos Suárez Mary Wong ii

4 ENTIDAD DISTRIBUIDORA MAYORISTA SYMBOL S.A. DROKASA PERU S.A. REPRESENTANTE Deyanira Villanueva Walter Equizabel Juan Cruz Valdez E. WONG S.A. Marcela Aparicio Rolando Bartra FOLIUM S.A.C. IBC SOLUTIONS PERU S.A.C. ITS CONSULTANTS S.A.C. OFICINA DE NORMALIZACION PREVISIONAL PONT. UNIV. CATOLICA DEL PERU PRESIDENCIA DEL CONSEJO DE MINISTROS PROCTER & GAMBLE DEL PERU S.A. SUPERINTENDENCIA DE ADMINISTRACION TRIBUTARIA - SUNAT TECNOLOGÍA FLEXOGRAFICA S.A. TCI S.A. UNILEVER ANDINA PERU S.A. GS1 PERU Roberto Huby Oscar Velasquez Daniella Orellana Ricardo Dioses Roberto Puyó Viktor Khlebnikov Willy Carrera Max Lazaro Cesar Vilchez Javier Kameya Daniel Llanos Luis Chávez Saavedra Renzo Alcántara Rolando Rivadeneira Milagros Dávila Tatiana Peña iii

5 INTRODUCCIÓN 0.1 Aspectos generales Esta Norma Técnica Peruana de Seguridad de la Información ha sido preparada con el fin de ofrecer un modelo para establecer, implementar, operar, monitorear, mantener y mejorar un efectivo Sistema de Gestión de Seguridad de la Información ISMS, por sus siglas en Inglés (Information Security Management System). La adopción de un ISMS debe ser una decisión estratégica para una organización. El diseño e implementación del ISMS de una organización está influenciado por las necesidades y objetivos del negocio, requisitos de seguridad, procesos, tamaño y estructura de la organización. Se espera que éstos y sus sistemas de soporte cambien a lo largo del tiempo, así como que las situaciones simples requieran soluciones ISMS simples. Esta Norma Técnica Peruana puede usarse en el ámbito interno y externo de las organizaciones. 0.2 Enfoque de proceso Esta Norma Técnica Peruana promueve la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear, mantener y mejorar la efectividad de un ISMS en la organización. Una organización debe identificar y administrar varias actividades con el fin de funcionar efectivamente. Cualquier actividad que administre y use recursos para lograr la transformación de entradas en salidas, puede ser considerado un proceso. Con frecuencia la salida de un proceso se convierte en la entrada del proceso siguiente. La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones de estos procesos y su administración se define como un enfoque de proceso. El enfoque de proceso alienta a sus usuarios a enfatizar la importancia de: a) entender los requisitos de seguridad de información de negocios y la necesidad de establecer políticas y objetivos para la seguridad de la información; iv

6 b) implementar y operar controles en el contexto de administrar el riesgo total del negocio de una organización; c) monitorear y revisar el desempeño y efectividad del ISMS; y d) mejoramiento continuo basado en la medición de objetivos. El modelo conocido como Planear-Hacer-Verificar-Actuar - PDCA (Plan-Do-Check- Act), por sus siglas en inglés, puede aplicarse a todos los procesos ISMS. La Figura 1 ilustra cómo un ISMS toma como entrada los requisitos y expectativas de seguridad de la información de las partes interesadas y a través de las acciones y procesos necesarios genera productos de seguridad de la información (es decir: gestión de la seguridad de la información) que cumple estos requisitos y expectativas. La Figura 1 también ilustra los enlaces en los procesos presentados en los capítulos 4, 5, 6, 7 y 8. La adopción del modelo PDCA también reflejará los principios como se establecieron en la pautas de OECD (2002) 1 para la gobernabilidad de los sistemas y redes de la seguridad de información. Esta Norma Técnica Peruana provee un modelo para implementar los principios en las pautas que gobiernan la evaluación del riesgo, el diseño e implementación de la seguridad, la gestión de seguridad y la reevaluación. EJEMPLO 1 Un requisito pudiera ser aquel que las brechas en la seguridad de la información no causen serios daños financieros y/o dañen la imagen de la organización. EJEMPLO 2 Una expectativa podría ser que si ocurriera un incidente serio que afecte el web site del negocio de una organización debe existir personal capacitado en procedimientos adecuados para minimizar el impacto. 1 OECD Guía para la seguridad de los Sistemas de Información y Redes Hacia una cultura de seguridad. Paris: OECD, Julio v

7 Planear Establecer el ISMS Partes Interesadas Hacer Implementar y Operar el ISMS Ciclo de desarrollo, mantenimiento y mejora Mantener y mejorar el ISMS Actuar Partes Interesadas Requisito y expectativas de seguridad de información Monitorear y revisar el ISMS Verificar Gestión de la Seguridad de la Información FIGURA 1 Modelo PDCA aplicado al proceso ISMS Planear (establecer el ISMS) Hacer (implementar y operar el ISMS) Verificar (monitorear y revisar el ISMS) Actuar (mantener y mejorar el ISMS) Establecer las políticas, objetivos, procesos y procedimientos de seguridad relevantes para administrar el riesgo y mejorar la seguridad de la información para obtener resultados de acuerdo con las políticas y objetivos de la organización. Implementar y operar las políticas, controles, procesos y procedimientos de seguridad. Monitorear y evaluar el funcionamiento de los procesos con respecto a las políticas, objetivos y experiencia práctica de seguridad, informando sobre los resultados obtenidos a la gerencia para su revisión. Tomar acciones correctivas y preventivas basándose en los resultados de la revisión gerencial para alcanzar la mejora continua del ISMS. vi

8 0.3 Compatibilidad con otros sistemas de gestión Esta Norma Técnica Peruana está alineada con la ISO 9001:2000 y la ISO 14001:2004 con el fin de respaldar una implementación y operación consistente e integrada con las normas de gestión afines. Un sistema de gestión convenientemente diseñado puede satisfacer así los requisitos de todos estos estándares. Tabla C.1, ilustra la relación entre los capítulos de esta norma, ISO 9001:2000 y la ISO 14001:2004. Esta Norma Técnica Peruana está diseñada para hacer posible que una organización se alinee o integre su ISMS con los requisitos de los sistemas de gestión relacionados. ---ooooooo--- vii

9 PERUANA 1 de 49 EDI. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos IMPORTANTE: Esta Norma Técnica Peruana no pretende incluir todos los términos necesarios para un contrato. Los usuarios son responsables de su correcta aplicación. Cumplir con una norma no confiere en sí mismo inmunidad de las obligaciones legales. 1. ALCANCE 1.1 Aspectos generales Esta Norma Técnica Peruana cubre todo los tipos de organizaciones (como por ejemplo: empresas comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta NTP especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un ISMS documentado dentro del contexto de los riesgos de negocio de la organización. Especifica los requisitos para implementar los controles de seguridad adaptado a las necesidades individuales de las organizaciones o partes de las mismas. El ISMS está diseñado para garantizar y proporcionar controles de seguridad adecuados que protejan los activos de información, brindando confianza a las partes interesadas. NOTA 1: Las referencias de negocio en esta Norma Técnica Peruana deben ser interpretadas ampliamente para representar las actividades que son base para los propósitos de la existencia de la organización. NOTA 2: La ISO/IEC provee pautas de implementación que pueden ser utilizadas cuando se designen controles.

10 PERUANA 2 de Aplicación Los requisitos establecidos en esta NTP son generales y tienen la intención de aplicarse a todas las organizaciones, sin tomar en cuenta el tipo, tamaño y naturaleza del negocio. Cuando una organización reclama conformidad con esta norma, no es aceptable excluir cualquiera de los requisitos especificados en los capítulos 4, 5, 6, 7 y 8. Cualquier exclusión de los controles necesarios para satisfacer el criterio de aceptación de los riesgos necesarios, debe justificarse y las necesidades de evidencias que debe ofrecerse en cuanto a que las personas responsables han aceptado adecuadamente los riesgos asociados. Cuando se realiza exclusiones de controles, los reclamos de conformidad de esta NTP no son aceptables a menos que esas exclusiones no afecten la capacidad y/o responsabilidad de la organización para ofrecer seguridad de la información que cumple los requisitos de seguridad establecidos por la evaluación de riesgo y requisitos reglamentarios aplicables. NOTA: Si una organización ya posee un sistema operativo de gestión de procesos de negocio (por ejemplo en relación con la ISO 9001 o ISO 14001), es preferible, en la mayoría de los casos, satisfacer los requisitos de esta NTP dentro de los sistemas de gestión existentes. 2. REFERENCIAS NORMATIVAS Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen requisitos de esta Norma Técnica Peruana. Las ediciones indicadas estaban en vigencia en el momento de esta publicación. Como toda Norma está sujeta a revisión, se recomienda a aquellos que realicen acuerdos en base a ellas, que analicen la conveniencia de usar las ediciones recientes de las normas citadas seguidamente. El Organismo Peruano de Normalización posee la información de las Normas Técnicas Peruanas en vigencia en todo momento.

11 PERUANA 3 de Normas Técnicas Internacionales ISO/IEC 17799:2005 Information technology Security techniques - Code of practice for information security management 3. TÉRMINOS Y DEFINICIONES Para los fines de esta Norma Técnica Peruana, se aplican los siguientes términos y definiciones: 3.1 activo: Algo que presenta valor para la organización. [ISO/IEC :2004] 3.2 disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario. [ISO/IEC :2004] 3.3 confidencialidad: Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado. [ISO/IEC :2004] 3.4 seguridad de la información: Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como la autenticación, responsabilidad, no-repudio y fiabilidad. [ISO/IEC 17799:2005] 3.5 evento de la seguridad de la información: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la política de seguridad de la información o falla de las salvaguardas o una situación desconocida previa que puede ser relevante. [ISO/IEC TR 18044:2004]

12 PERUANA 4 de incidente de la seguridad de la información: Una serie de eventos no deseados que tienen una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la información. [ISO/IEC TR 18044:2004] 3.7 sistema de gestión de seguridad de la información ISMS: Es la parte del sistema integral de gestión, basado en un enfoque del riesgo del negocio para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. NOTA: El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos. 3.8 integridad: Salvaguardar la exactitud e integridad de la información y activos asociados. [ISO/IEC TR :2004] 3.9 riesgo residual: Riesgo remanente después de un tratamiento del riesgo. [ISO/IEC Guide 73:2002] 3.10 aceptación del riesgo: Decisión de aceptar el riesgo. [ISO/IEC Guide 73:2002] 3.11 análisis del riesgo: Uso sistemático de información para identificar amenazas y estimar el riesgo. [ISO/IEC Guide 73:2002] 3.12 estimación del riesgo: Proceso total de análisis y evaluación del riesgo. [ISO/IEC Guide 73:2002] 3.13 evaluación del riesgo: Proceso de comparación del riesgo estimado frente al criterio de riesgo para determinar el significado del riesgo. [ISO/IEC Guide 73:2002]

13 PERUANA 5 de gestión del riesgo: Actividades coordinadas para dirigir y controlar el riesgo en una organización. [ISO/IEC Guide 73:2002] 3.15 tratamiento del riesgo: Proceso de selección e implementación de controles para minimizar el riesgo. [ISO/IEC Guide 73:2002] 3.16 declaración de aplicabilidad: Documento que describe los objetivos de control y los controles que son relevantes y aplicables al ISMS de la organización. NOTA: los objetivos y controles están basados en los resultados y conclusiones de los procesos de evaluación del riesgo y tratamiento del riesgo, requisitos legales o regulatorios, obligaciones contractuales y los requisitos de negocio de la información de seguridad de la organización. 4. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 4.1 Requisitos generales La organización desarrollará, implementará, operará, monitoreará, revisará, mantendrá y continuará la mejora de un ISMS documentado dentro del contexto de las actividades y riesgos totales de la organización. Para los fines de esta NTP, el proceso usado se basa en el modelo PDCA mostrado en la Figura 1.

14 PERUANA 6 de Establecimiento y administración del ISMS Establecimiento del ISMS La organización realizará lo siguiente: a) Definir el alcance y límites del ISMS en términos de las características del negocio, la organización, su localización, activos y tecnología e incluyendo detalles y justificaciones para cualquier exclusión del alcance (véase 1.2). b) Definir una política ISMS en términos de las características del negocio, la organización, su localización, activos y tecnología que: 1) incluye un marco para establecer sus objetivos y establece un sentido total de dirección y principios para acción con miras a la seguridad de la información; 2) considera requisitos de negocios, legales o regulatorios y obligaciones de seguridad contractual; 3) establece el contexto estratégico organizacional y la gestión del riesgo en el cual tiene lugar el establecimiento y mantenimiento del ISMS; 4) establece criterios frente a los cuales se evaluará el riesgo y se definirá la estructura de evaluación del riesgo [véase 4.2.1c)]; 5) ha sido aprobado por la gerencia. NOTA: Para propósitos de esta Norma Técnica Peruana, la política de ISMS es considerada como un conjunto de la política de la seguridad de información. Estas políticas pueden ser descritas en otro documento. c) Definir un enfoque sistemático para la evaluación del riesgo en la organización. 1) Identificar una metodología de evaluación del riesgo que se adecue al ISMS y a requisitos legales y regulatorios de la información de seguridad del negocio identificada. 2) Determinar criterios para aceptar e identificar los niveles aceptables del riesgo [véase 5.1f]. La metodología de evaluación de riesgos seleccionada debe asegurar que la evaluación de riesgos produzca resultados comparables y reproducibles.

15 PERUANA 7 de 49 NOTA: Existen diferentes metodologías para una evaluación de riesgos. Los ejemplos de metodologías de evaluación de riesgos son discutidas en la ISO/IEC TR d) Identificar los riesgos. 1) Identificar los activos dentro del alcance del ISMS y los propietarios 2 de estos activos. 2) Identificar las amenazas a esos activos. 3) Identificar las vulnerabilidades que podrían explotarse mediante estas amenazas. 4) Identificar los impactos de pérdidas de confidencialidad, integridad y disponibilidad sobre los activos. e) Analizar y Evaluar los riesgos. 1) Evaluar los daños comerciales que podrían resultar de una falla de seguridad, considerando las consecuencias potenciales de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2) Evaluar las posibilidades de falla de seguridad, teniendo en cuenta las amenazas, vulnerabilidades e impactos asociados con estos activos y los controles implementados actualmente. 3) Estimar los niveles de los riesgos. 4) Determinar si el riesgo es aceptable o requiere tratamiento usando el criterio establecido en 4.2.1c)2). f) Identificar y evaluar opciones para el tratamiento del riesgo. Las posibles acciones incluyen: 1) aplicar los controles apropiados; 2) aceptar riesgos conciente y objetivamente, siempre y cuando satisfagan claramente la política de la organización y el criterio para la aceptación del riesgo [véase 4.2.1c)2)]; 3) evitar riesgos; y 4) transferir los riesgos de negocio asociados a otras partes, por ejemplo: aseguradores, proveedores. g) Seleccionar objetivos de control y controles para el tratamiento del riesgo. 2 El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestión por controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término propietario no significa que la persona tiene algún derecho de propiedad realmente sobre el activo.

16 PERUANA 8 de 49 Se seleccionará los objetivos de control y controles adecuados y se justificará en base a las conclusiones de la evaluación y proceso de tratamiento de riesgo. Esta selección debe tomar en cuenta el criterio para aceptación de riesgos [véase 4.2.1c)2)] así como los requisitos legales, regulatorios y contractuales. Los objetivos de control y controles del Anexo A deben ser seleccionados como parte del proceso así como adecuados para cubrir los requisitos identificados. Los objetivos de control y los controles que figuran en el Anexo A no son exhaustivos y también puede seleccionarse objetivos de control y controles adicionales. NOTA: El Anexo A contiene una lista comprensible de objetivos de control que han sido encontrados como relevantes para las organizaciones. Los usuarios de esta NTP son dirigidos a este Anexo A como un punto de partida para la selección de controles con el fin de asegurar que no se hayan obviado opciones de control importantes. h) Obtener aprobación por parte de la gerencia sobre los riesgos residuales propuestos. i) Obtener autorización por parte de la gerencia para implementar y operar el ISMS. j) Prepara una declaración de aplicabilidad. Una declaración de aplicabilidad debe ser preparada y debe incluir lo siguiente: 1) los objetivos de control y los controles seleccionados en 4.2.1g) y las razones para su selección; 2) los objetivos de control y los controles implementados actualmente [véase 4.2.1e)2)]; y 3) se registrará la exclusión de cualquier objetivo de control y controles que figuran en el Anexo A así como su justificación. NOTA: La declaración de aplicabilidad provee un resumen de decisiones concernientes a la evaluación de riesgos. Las exclusiones justificadas proveen una verificación cruzada de que ningún control se ha omitido inadvertidamente.

17 PERUANA 9 de Implementar y operar el ISMS La organización debe hacer lo siguiente: a) Formular un plan de tratamiento de riesgos que identifique la acción administrativa adecuada, recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la información (véase el apartado 5). b) Implementar el plan de tratamiento de riesgos con el fin de alcanzar los objetivos de control identificados, que incluyen la consideración de financiamiento y asignación de roles y responsabilidades. c) Implementar los controles seleccionados en 4.2.1g) para cumplir con los objetivos de control. d) Definir como medir la efectividad de los controles o grupos de control seleccionados y especificar como estas medidas serán utilizadas para alcanzar la efectividad en el control con el fin de producir resultados comparables y reproducibles [véase 4.2.3c)]. NOTA: Medir la efectividad de los controles permite a los gerentes y al personal determinar que tan bien los controles logran los objetivos de control planeados. e) Implementar programas de capacitación y concientización (véase 5.2.2). f) Administrar las operaciones del ISMS. g) Administrar los recursos para el ISMS (véase 5.2) h) Implementar procedimientos y otros controles capaces de hacer posible la inmediata detección y respuesta a los incidentes de seguridad (véase 4.2.3a)).

18 PERUANA 10 de Monitorear y revisar el ISMS La organización debe hacer lo siguiente: a) Ejecutar procedimientos de monitoreo y otros controles para: 1) detectar inmediatamente errores en los resultados de procesamiento; 2) identificar inmediatamente brechas de seguridad e incidentes; 3) hacer posible que la gerencia determine si las actividades de seguridad delegadas a personas o implementadas mediante el área de tecnología de la información se realizan de acuerdo a lo planeado; 4) ayudar a detectar eventos de seguridad y desde ahí prevenir los incidentes de seguridad mediante el uso de indicadores; y 5) determinar si las acciones realizadas para resolver una violación de seguridad fueron efectivas. b) Emprender revisiones regulares de la efectividad del ISMS (incluyendo cumplir con la política de seguridad, objetivos y revisar los controles de seguridad) considerando los resultados de auditorías de seguridad, incidentes, sugerencias y retroalimentación de todas las partes interesadas. c) Medir la efectividad de los controles para verificar que se tomaron en cuenta los requisitos de seguridad. d) Revisar la evaluación de riesgos en intervalos planificados y revisar el nivel del riesgo residual y riesgo aceptable, tomando en cuenta los cambios a: 1) la organización; 2) la tecnología; 3) los objetivos y procesos del negocio; 4) amenazas identificadas; 5) efectividad de los controles implementados; y 6) eventos externos, tales como cambios en el ambiente legal o regulatorio, cambios en obligaciones contractuales y en el clima social;

19 PERUANA 11 de 49 e) Realizar auditorías internas de ISMS en intervalos planificados (véase el capítulo 6). NOTA: Las auditorías internas son conducidas por, o a favor de, la misma organización, para propósitos internos. f) Emprender un revisión administrativa del ISMS en una base para garantizar que el alcance siga siendo el adecuado y las mejoras al proceso ISMS sean identificadas (Véase 7.1). g) Actualizar los planes de seguridad para tomar en cuenta los resultados encontrados del monitoreo y revisión de las actividades. h) Registrar acciones y eventos que podrían tener un impacto en la efectividad o funcionamiento del ISMS (véase 4.3.3) Mantener y mejorar el ISMS La organización debe regularmente hacer lo siguiente: a) Implementar en el ISMS las mejoras identificadas. b) Tomar las acciones correctivas y preventivas adecuadas en conformidad con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la misma organización. c) Comunicar las acciones y resultados a todas las partes interesadas con un nivel de detalle apropiado a las circunstancias y cuando sea relevante, acordar la forma de cómo proceder. d) Garantizar que las mejoras alcancen sus objetivos planificados.

20 PERUANA 12 de Requisitos de documentación Aspectos generales La documentación debe incluir registros de la decisiones gerenciales, asegurar que las acciones sean trazables a estas decisiones y a las políticas y asegurar que los resultados grabados son reproducibles. Es importante ser capaz de demostrar la relación de los controles seleccionados con los resultados de la evaluación de riesgos y el proceso de tratamiento de riesgos así como subsecuentemente a las políticas y objetivos de ISMS. La documentación del ISMS deberá incluir lo siguiente: a) Declaraciones documentadas de la política de seguridad (véase 4.2.1b)) y objetivos; b) el alcance del ISMS (véase 4.2.1a)); c) los procedimientos y controles que soportan el ISMS; d) una descripción de la metodología de evaluación del riesgo (véase 4.2.1c)); e) informe de evaluación del riesgo (véase 4.2.1c) a 4.2.1g)); f) plan de tratamiento del riesgo (véase 4.2.2b)); g) procedimientos documentados necesarios en la organización para garantizar la planificación efectiva, funcionamiento y control de sus procesos de seguridad de la información y describir como medir la efectividad de los controles (véase 4.2.3c)); h) registros exigidos por esta NTP (véase 4.3.3); y i) declaración de aplicabilidad.

21 PERUANA 13 de 49 NOTA 1: Cuando aparece el término procedimiento documentado dentro de esta norma, significa que el procedimiento está establecido, documentado, implementado y mantenido. NOTA 2: La extensión de la documentación del ISMS puede diferir de una organización a otra dependiendo de: - El tamaño de la organización y el tipo de actividades; y - El alcance y complejidad de los requisitos de seguridad y del sistema a ser administrado. NOTA 3: Los documentos y registros pueden tener cualquier forma y tipo de medio de documentos Los documentos exigidos por el ISMS estarán protegidos y controlados. Se establecerá un procedimiento documentado para definir las acciones administrativas necesarias para: a) aprobar documentos para su adecuación antes de la emisión; b) revisar y actualizar los documentos que sean necesarios y reaprobar documentos; c) asegurar que los cambios y el estado de la versión actual de los documentos sean identificados; d) asegurar que las versiones más recientes de los documentos pertinentes estén disponibles en los puntos de uso; e) asegurar que los documentos sean legibles y fácilmente identificables; f) asegurar que los documentos se encuentren disponibles para quienes los necesiten y sean transferidos, almacenados y dispuestos en concordancia con los procedimientos aplicables a su clasificación; g) asegurar que los documentos de origen externo sean identificados; h) asegurar que la distribución de documentos sea controlada; i) prevenir el uso no intencional de documentos obsoletos; y j) aplicar la identificación adecuada de estos si se guardan para algún propósito.

22 PERUANA 14 de de registros Se establecerán y mantendrán registros para ofrecer evidencia de conformidad con los requisitos y el funcionamiento efectivo del ISMS. Estos registros deberán ser controlados. El ISMS tomará en cuenta cualquier requisito legal pertinente. Los registros deben ser legibles, fácilmente identificables y accesibles. Los controles necesarios para la identificación, almacenamiento, protección, acceso, tiempo de retención y disposición de registros deberán ser implementados y documentados. Se mantendrán los registros del rendimiento del proceso como se señala en 4.2 y de todos los incidentes de seguridad relacionados con el ISMS. EJEMPLO: Ejemplos de registros son los libros de visitantes, reportes de auditoría y autorización de acceso. 5. RESPONSABILIDAD DE LA GERENCIA 5.1 Compromiso de la gerencia La gerencia entregará evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora del ISMS mediante: a) estableciendo una política del ISMS; b) asegurando que los objetivos y planes del ISMS sean establecidos; c) estableciendo los roles y responsabilidades para la seguridad de la información;

23 PERUANA 15 de 49 d) comunicando a la organización la importancia del cumplimiento de los objetivos de seguridad de la información y de acuerdo a la política de seguridad de la información, sus responsabilidades de acuerdo a ley y la necesidad de una mejora continua; e) brindando recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS (véase 5.2.1); f) decidiendo el criterio para aceptación de riesgos y el nivel de riesgo aceptable; g) asegurar que las auditorías internas del ISMS sean realizadas (véase capitulo 6); y h) realizando revisiones gerenciales del ISMS (véase capítulo 7). 5.2 Administración de recursos Provisión de recursos La organización deberá determinar y brindar los recursos necesarios para: a) establecer, implementar, hacer funcionar y mantener el ISMS; b) asegurar que los procedimientos de seguridad de la información respalden los requisitos de negocio; c) identificar y atender los requisitos legales y regulatorios, obligaciones de seguridad contractuales; d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; e) llevar a cabo revisiones necesarias y aplicar las medidas correspondientes según los resultados de estas revisiones; f) cuando sea necesario, mejorar la efectividad del ISMS.